[討論] Comodo 防禦勒索病毒操作測試

作者AngelGT (旦旦)

看板AntiVirus

標題[討論] Comodo 防禦勒索病毒操作測試

時間Wed Jun 8 01:06:13 2016

希望以下的說明能幫助版上的鄉民們測試勒索病毒。
這是小弟利用Comodo Internet Security Premium 免費的版本。(以下簡稱CISP)
輔以在Comodo 企業版(CESM)上學到的設定觀念套用的阻擋案例。
範例中CISP的保護模組，防毒，防火牆，HIPS與Viruscope我已經關閉，
只留下動沙箱 目的就是要測試「自動沙箱」在沒有黑名單與雲端檔案比對下，
對於不認識的未知惡意程式如何保護本機的檔案。 CISP的自動沙箱預設策略，
還不足以阻擋，需要調整。
 ---------------------------------------------------------------------------
1.自動沙箱→會看到預設的六條策略，請對第四條修改。
(前三封鎖，後三虛擬化)
2.對第四條點兩下進入設定，會看到三個來源策略，
將第一條其來源改為任意到任意。
---------------------------------------------------------------------------
6/8 修改成

這是第四條(第一個虛擬化的配製)

這樣的配法就是，不在黑名單的，也不在白名單的，通通去沙箱執行。 當上述設定完畢後，就可以打造一個測試環境。

作者abram (科科)

看板AntiVirus

標題Re: [討論] Comodo 防禦勒索病毒操作測試

時間Thu Jun 9 12:37:58 2016

首先謝謝AngelGT大的分享，幫我擋過一次wscript省下兩萬多＄＄ 

不過剛剛發現一個小問題，跟使用Codomo沙盒全開的朋友分享一下。
這個問題其實不是Codomo自己的問題，而是沙盒的使用習慣問題：
事情是我在安裝CISP且刪除了三個AngelGT大建議的選項之後，
發現連開TrueCrypt和Total Commander等軟體都也在沙盒之中，
（視窗外側有綠色框包起來） 結果我先用TrueCrypt開一個加密磁區
（令為F槽），在開一個 外接硬碟的加密磁區（令為G槽），
然後就用Total Commander 去Sync兩個磁區內的檔案，
做完之後就關掉TC和兩個加密磁區。
等忙了一陣子，我又再做了上述相同的動作（開兩個加密和TC）
發現之前已經同步過的檔案，這次還是顯示在需要同步的list當中。
也就是說因為這些軟體都在沙盒之中，

所執行的檔案變更有風險 「沒有真的在實際的硬碟上進行變更」。
用過沙盒的人應該知道 我在講什麼。
我覺得說不定一開始的Any to Any設定還比較不會有
這樣的問題？？
ps. 我對於沙盒的使用一直很confuse ...,
使用習慣的問題吧。

++++++++++++++++++++++++++++++++++++++++++++++++++++++

COMODO沙盒模式也算好用，有些人也利用COMODO Firewall設定規則來檔勒索病毒，

不過我個人是搭配SandBoxie 沙盤使用。